Аудит информационной безопасности

Аудит безопасности позволяет проверить, насколько хорошо защищена информационная система предприятия от внутренних и внешних угроз. Регулярный аудит позволяет поддерживать систему информационной безопасности на должном уровне.

=Внутренний аудит информационной безопасности= – вид аудита, требующий физического присутствия аудиторов на исследуемом объекте. Наши специалисты проводят собеседование с руководителями предприятия различных уровней, изучают специфику бизнес-процессов предприятия, структуру информационной системы, правила разграничения доступа, существующую внутреннюю документацию, регламентирующую правила и нормы работы с конфиденциальной информацией. Производится тестирование защищенности информационной системы от внутренних угроз (включая человеческий фактор), проверяются настройки серверов и компьютерных рабочих мест предприятия, перечень разрешенного к использованию программного обеспечения, наличие обновлений и патчей, эффективность работы защитных средств – антивирусов, межсетевых экранов, антишпионских программ и др. Проверяется политика резервного копирования, методы хранения информации и ее защищенности от непредвиденных вмешательств.
Результатом всех перечисленных видов аудита является подробный отчет с рекомендациями наших экспертов по устранению выявленных проблем и уязвимостей. По итогам внутреннего аудита к основному отчету прилагаются следующие документы: отчет по классификации и категорированию информации, подлежащей защите; отчет по анализу рисков; модели угроз и потенциального нарушителя; оценка вероятности реализации угроз всех уровней; программа (портфель проектов) информационной безопасности, разработанная на основе анализа рисков; порядок управления информационной безопасностью.
Работы по устранению уязвимостей не являются частью аудита, однако, по желанию заказчика, эти работы могут быть также выполнены нашими специалистами с последующим повторным тестированием всей системы. Стоимость и сроки определяются дополнительным соглашением и зависят об объема работ, выявленного во время выполнения первых двух этапов.
Почему аудит должен производиться независимыми экспертами?
Специалисты предприятия, разрабатывающие политику безопасности и внутренние нормативные документы, осуществляющие настройку и техническое сопровождение серверов и рабочих станций, отвечающие за функционирование веб-сайтов и других Интернет-ресурсов предприятия, обязаны регулярно осуществлять контроль результатов своей работы в рамках своей компетенции, а также в рамках тех возможностей и ресурсов, которыми они ограничены. Сторонние эксперты, осуществляющие аудит и имеющие большой опыт проведения подобных работ, не имеют таких ограничений и выносят независимую объективную оценку реального состояния информационной безопасности объекта.
Почему именно наша компания?
При проведении работ по внешнему и внутреннему аудиту нашими специалистами используются лучшие нормы и рекомендации стандартов ISO 27002 (17799), ISO 27001, ГОСТ Р 50922-2006, ГОСТ Р ИСО/МЭК 17799—2005, ГОСТ Р ИСО/МЭК 13335-1—2006, ГОСТ Р ИСО/МЭК 15408-2002, в сочетании с собственными методиками, разработанными в течение 15-ти лет работы и постоянно совершенствующимися с учетом современных реалий и угроз. Часть работ по внешнему аудиту (тестированию на проникновение) автоматизирована с помощью новейших проприетарных продуктов производства России и США, позволяющих за короткое время проверить систему на устойчивость к десяткам тысяч известных атак. Другая, более сложная часть работ выполняется вручную с применением опыта и знаний наших экспертов для осуществления безопасных проникновений в исследуемые системы и для выработки рекомендаций и инструкций по устранению выявленных уязвимостей систем защиты.